Grazie al Dipartimento di Informatica, Sistemistica e Telematica di GenovaInternet: studiosi italiani scoprono falla in un servizio di Google, risolta

Il servizio di Single Sign-On di Google consente alle aziende di rendere immediatamente disponibili ai propri dipendenti ed utenti i popolarissimi servizi di Google, quali Gmail, Calendar e molti altri. "Questo servizio -spiega l'Universita' di Genova- sta riscuotendo un notevole successo e Google annovera tra i propri clienti aziende del calibro di Procter & Gamble e General Electrics. Se i dettagli della vulnerabilita' fossero caduti in mano a malintenzionati, le conseguenze avrebbero potuto essere pesanti, a partire dalla violazione della privacy degli utenti fino alla sottrazione di segreti industriali".

"Si parla al passato -tiene a sottolineare ancora l'Ateneo genovese- perche' Alessandro Armando, coordinatore del Laboratorio di Intelligenza Artificiale nonche' docente di Intelligenza Artificiale e di Sicurezza Informatica della Facolta' di Ingegneria dell'Universita' degli Studi di Genova, ha tempestivamente segnalato la vulnerabilita' sia a Google che al Computer Emergency Response Team, ente internazionale indipendente preposto alla raccolta, divulgazione e individuazione delle vulnerabilita' dei sistemi informatici e delle relative contromisure. La scoperta ha cosi' dato il tempo a Google di produrre una nuova versione del protocollo di autenticazione e ai suoi clienti di apportare le necessarie modifiche alle proprie applicazioni informatiche". Ma ecco come gli studiosi italiani sono riusciti a scoprire la pericolosa falla.

"La vulnerabilita' del protocollo impiegato da Google -spiega Alessandro Armando- e' stata individuata da un programma per l'analisi automatica dei protocolli di sicurezza messo a punto dal nostro gruppo di ricerca. Grazie all'utilizzo delle piu' avanzate tecniche di Intelligenza Artificiale il programma e' capace di analizzare tutti i possibili comportamenti del protocollo in presenza di un agente ostile che cerca di attaccarlo. Si pensi che il numero dei comportamenti che e' stato necessario analizzare per trovare la vulnerabilita' al protocollo di Google e' composto da piu' di 300 cifre".

"Si tratta di un problema di complessita' formidabile che elude le capacita' analitiche umane" spiega ancora il professore Armando. "La verifica del corretto funzionamento degli apparati ad elevata complessita', quale e' appunto Internet, e' una delle nuove frontiere dell'Intelligenza Artificiale e il risultato ottenuto dal nostro team -afferma- e' un passo importante in questa direzione".

La scoperta della vulnerabilita' e' stata realizzata dal Alessandro Armando in collaborazione con Roberto Carbone, studente di dottorato del Dist, Luca Compagna del Sap Research francese, Jorge Cuellar di Siemens Germania e Llanos Tobarra, studentessa di dottorato dell'Universita' Castilla-La Mancha in Spagna, nell'ambito del Progetto Avantssar (Automated Validation of Trust and Security of Service-oriented Architectures), finanziato dall'Unione Europea nell'ambito del tema Ict del 7° Programma Quadro per la sezione "Infrastrutture informatiche sicure e affidabili".

Si tratta di un primo, importante risultato del Progetto europeo che e' finalizzato appunto alla realizzazione di una tecnologia capace di garantire la sicurezza informatica dei servizi distribuiti sulla Rete oggi molto diffusi nell'ambito della finanza, dell'e-health, dei mezzi di trasporto di massa e del commercio elettronico.

Il progetto, iniziato nel gennaio 2008 per una durata complessiva di 3 anni, coinvolge dieci partner europei per un totale di circa 50 ricercatori e si avvale di un budget complessivo di 6 milioni di euro, di cui 3,8 finanziati dall'Unione Europea. Il progetto vede impegnati oltre all'Universita' di Genova, l'Universita' di Verona, che coordina il progetto con Luca Vigano', il Politecnico di Zurigo (Eth) e l'Ibm Research Laboratory sempre con sede a Zurigo, il Centro di Ricerca Informatica Inria di Nancy, l'Universita' di Tolosa e l'azienda OpenTrust di Parigi in Francia; l'Istituto di Ricerca Ieat di Timisoara in Romania; la Sap, multinazionale per la produzione di software, e la Siemens in Germania.

Il Progetto Avantssar si basa su un precedente progetto (Avispa), coordinato dal docente Alessandro Armando, che nel 2006 e' stato nominato per l'European Union Descartes Research Prize, il premio attribuito dalla Comunita' Europea ai migliori progetti europei dell'anno in tutti i campi scientifici.

Info: http://www.ai-lab.it/armando/pub/GoogleSSO-vulnerability-message.txt